schlechte Zeiten für JOSM und andere Werkzeuge

Heise hat gestern Abend folgende News betreffend Java und Phyton gebracht. Hoffentlich reagieren die Firmen schnell.

das gilt für Oracle-Java. i.d.R. verwenden wir das OpenJDK - und zwar genau deshalb :wink:

Und einen Python-basierenden OSM-Editor kenne ich nicht.

Gruss
walter

Komisch,
bei meinem Windows 10 öffnet JOSM immer Oracle-Java. Und im Wiki findet man zum Thema Mapnik folgendes Statement:

Mapnik ist eine freie Werkzeugsammlung zum Rendern von Karten. Sie ist in C++ geschrieben, es gibt aber auch Python-Anbindungen.

Eine Sicherheitslücke in Java? Boah, das ist neu… :smiley:

PS: Auf meinem Ubuntu 14 LTS Rechner musste ich gerade Oracle Java 8 installieren, weil openjdk 8 nicht mehr unterstützt wird.

Dass OpenJDK nicht betroffen ist, halte ich für Wunschdenken. Die Analyse des Bugs zeigt das Problem in der Implementierung von sun.net.ftp.impl.FtpClient. Rate mal, wo… richtig im OpenJDK-Code :sunglasses:

Das sind, wie so oft bei Heise zum Thema Java+Security: Fake News.
Einfach immer das Forum dazu lesen.

Zum Glück haben wir bei OSM keine Entscheider die sowas allzu ernst nehmen.

Ich lese auch Beiträge aus dem Forum.
Hmm,
und was genau qualifiziert jemanden, der sich anonym dort angemeldet hat, dazu, sich damit genau auszukennen? Das alle durch Werbung finanzierten Websites Klicks generieren möchten, indem sie möglichst viele Neugierige anlocken, ist ja bekannt. Aber deswegen so etwas auf die leichte Schulter nehmen, weil einige dort schreiben, das es nicht so schlimm ist, könnte in die Hose gehen.

Das sind jetzt aber Fake News, die du da verbreitest… Ein normaler Nutzer weiß nicht, welchen “Part” von Java das jeweils genutzte Programm verwendet. Von daher ist eine grundsätzliche Senibilisierung uns eben auch recht gute Aufklärung für solche Geschichten durchaus angebracht…

Wenn man aber grundsätzlich das Standardprogramm Brain 1.0 benutzt (diese Version reicht) sind die Chancen recht gering, daß was passiert…

…Erfahrung…

Sven

Erst mal nichts. Vernünftig klingende Diskussionbeträge, die die Aussage des Artikels abschwächen oder ihm widersprechen motivieren mich aber zum Lesen der Originalmeldung. Die ist ja bei Heise fast immer verlinkt, hier auch in mmd’s Beitrag #5. Manchmal kann man sich dann selbst das Ausmass der Lücke vorstellen und überlegen, in wie weit man selbst betroffen ist.

Bei mir zuhause sehe ich z.B. eine Möglichkeit, dass das jemand ausnützen könnte, ob ich die Gefahr für realistisch genug halte, um was zu tun, weiss ich noch nicht. Mein Browser kennt Java nicht, aus Versehen stolpere ich jedenfalls schon mal nicht über boshafte Anwendungen.

ich hätte (und hab) lieber einen Upgrade auf Ubuntu 16.4 LTS gemacht.